» Microsoft ISA Server 2006/2004/2000 (Часть II)

народ совсем голову сломал я, но ответа так и не нашел
в общем стоит ISA 2004 на сервере 2003. на нем 2 сетевушки, первая смотрит в локалку, вторая в сторону ADSL модема. пользователи ходят в инет через NAT ISA. поставил на сервак модем обычный есть желание подключаться к серверу с дома, как и что и где на компе настроить чтоб подключиться к серверу, в варианте чтоб просто маршрутизация шла в инет (т.е. даж без доступа в локалку)?

Господа, в чем может быть проблема? При роутинге между сетевыми сегментами средствами ISA Server, в Explorer не видно рабочих станций, не находящихся в одном сегменте с контроллером домена, хотя рабочие станции в домене

smf

Цитата:

Решилось всё это отменой требования для всех пользователей аутентифицироваться в свойствах сети на вкладке "Web Proxy".

Ты думаешь, что отключение авторизации хорошее решение проблемы?
Поставь лучше Firewall Client на рабочие станции


Добавлено:
Baloven1
1. Модем подключить к серверу
2. В свойствах пользователя которым будешь авторизоваться, выставь разрешение на входящие соединения и IP-адрес который будет ему назначаться при дозвоне
3. ... ну собственно и все вроде

enver все это понятно и на многих ресурсах расписано, т.е. все это уже сделал. нужно ли поднимать в этой ситуации Dial-in в сервере маршрутизации или же каким-то образом это решается средствами ISA 2004? просто если зделать вышеуказанное, модем-то на звонки не отвечает

Baloven1
копай RRAS

Господа, я так понял, что если на клиенте явно не прописывать прокси, то ISA по NAT пускает?
Есть какой-то способ организовать типа Transparent Proxy. Мне необходимо всех принудительно проксировать, даже если прокси явно не прописан на клиенте

ПРивет всем... Кто знает как избавитья от ошибки:
ISA Server Management was unable to connect to Configuration Storage erver.

The server is not operational.
-----------------------------
Уже что только не пробовал...Бесполезно... Консолька не открывается. Месяц назад просто собрал свою консоль и добавил оснастку ИСЫ, и все заработало. Сейчас и та консолька не робит... Откуда ноги растут ?!

а управление с той рабочей станции, с которой ты пытаешься управлять в принципе разрешено на самой ISA Server?

ISA Server при попытках ложит что-то в логах?

ПОдскажите пожалуйста. Стоит Win 2003 + Terminal + две сетувухи одна в инет друга в локал + ISA2004. Можно ли ограничить доступ (одним дать инет у др. забрать) в инет с терминала с помощью ISA. Говорят что можно но у меня не получилось. Кинте плиз ссылочку или раскажите как

denminsk

Цитата:

Стоит Win 2003 + Terminal

Цитата:

доступ (одним дать инет у др. забрать) в инет с терминала с помощью ISA

Варианты:

1) Как вариант груповыми политиками прописать необходимым пользователям "левый" прокси в настройка IE

2) Правилами ISA разрешить выход в инет только определённым пользователям

3) Использовать WMI фильтры для груповых политик

enver

Цитата:

Господа, я так понял, что если на клиенте явно не прописывать прокси, то ISA по NAT пускает?
Есть какой-то способ организовать типа Transparent Proxy. Мне необходимо всех принудительно проксировать, даже если прокси явно не прописан на клиенте

isa по nat будет пускать если ты этот nat разрешишь. в любом случае по умолчанию на http повешен web proxy filter который, даже если юзер ходит не как прокси клиент, все равно выполняет проксирование (кэширование в частности). но в любом случае иса будет рассматривать этих клиентов как securenat, принудительно их через прокси пускать не выйдет, всегда нужно прописывать у клиентов.

Цитата:

в любом случае по умолчанию на http повешен web proxy filter который, даже если юзер ходит не как прокси клиент, все равно выполняет проксирование (кэширование в частности).

Так это и есть transparent proxy. А коли надо авторизацию на прокси, то тут альтернатив прописыванию нет

просто такая неприятность получается, что поставил я Surfcontrol Webfilter настроил правило на ограничеиние по количеству скачаной инфы и на обрезание по контенту, но это не работает пока не включишь прокси на стороне клиента
я бы в принципе через групповые политики включал, но есть же куча браузеров, инсталяция которых не обязательна

Нужен Add-ins фильтр под ISA для фильтрации трафика от определенных программ или файлов.

Что посоветуете?

Ситуевина такая.
На проксе стоит ISA. На ней подняты NAT, Web-proxy и FWC.
Как тока в правилах вместо All User ставлю конкретные Юзер-сеты, т.е. перекрываю НАТ наружу, Половина компов в сети поднимает файрволл клиента и продолжают работать.
Другая половина тупо упираецца. В клиенте не показывается никакого значка (стрелки вверх или вниз), пишет "Конфигуред......"
Две недели ковыряю машины. Нихрена не понять.
Знаю, что это лечицца сносом системы на локальном компе и установкой заново.
Но хочется разобраться без такой хирургии.
Мож кто сталкивался?

Taschpuk

А запись WPAD в DNS присутствует ?

В настройках IE нет галки "автоматичксое определение параметров" ?

RXLayer

Цитата:

Add-ins фильтр под ISA для фильтрации трафика от определенных программ или файлов

можно реализовать стандартными средствами ISA, а именно - Content Types
описываешь правило на разрешение или наоборот - на запрещение применительно к контенту, который можно использовать стандартный или сконфигурированный собственноручно

Дано:

Домен.
Два сервера: SERVER_1 (Windows 2000 Advanced Server, контроллер домена) и SERVER_2 (Windows 2003 Server, сервер-член домена).

На обоих серверах установлен Symantec Antivirus Corporate Edition 9, SERVER_1 - Первичный сервер, на нём же установлена консоль Symantec System Server. Сервер SERVER_2 - Вторичный в группе.

На SERVER_2 установлена ISA Server 2004. Для того, чтобы SACE на первичном сервере (SERVER_1) мог обнаруживать вторичный (SERVER_2) в ISA создано следующее правило Server Publishing Rule:

From SERVER_1 To IP SERVER_2

Primary Connections
Port 2967, TCP, Inbound
Port 38293, UDP, Receive Send

Secondary Connections
Port 2967, TCP, Outbound


Проблема:

В консоли Symantec System Server вторичный сервер SERVER_2 (там, где ISA) показан отключенным (красная стрелка вниз).
При мониторинге ISA выводит следующее:

Source Destination
<IP SERVER_1> <port SERVER_1> <IP SERVER_2> 2967 Unidentified IP Traffic Denied Con
<IP SERVER_1> 38293 <IP SERVER_2> <port SERVER_2> Unidentified IP Traffic Denied Con

Вопрос:

Какие порты и протоколы разрешить в правиле на ISA Server для того, чтобы SACE на первыичном сервере SERVER_1 видел вторичный сервер SERVER_2?

veryom

Цитата:

2967

это на что похоже?
Ports used for communication in Symantec AntiVirus 10.x and Symantec Client Security 3.x

angelweb
WPADину не писал. Настройки ручные.
В ИЕ настройки автоматические. То же прописано в FWC.
Сдается мне, что дело тут не в ИСЕ. Иначе бы все компы в сети не работали.
А так ровно половина пашет, другая лежит.
ИЕ шпилит без проблем у всех, т.к. он напрямую клиент Веб-прокси.
Клинят Аси-хренаси и Майл-клиенты.
Настраивать их как клиентов Веб-прокси не хочу. Нада докапацца до сути.

Taschpuk
а что если переустановить клиентскую часть?

enver
Первое ваще чо сделал. Сносил-ставил, ставил поверху (репайр) - бестолку.
Заюзал fwctool.
На здоровой машине пишет:

C:\>fwctool pingserver

FwcTool version 4.0.3439
Firewall Client for ISA Server 2004 support tool
Copyright (c) Microsoft Corporation. All rights reserved.

Action: Verify ISA Server connectivity

Firewall Client Windows Sockets 2 Service Provider:

DLL Name: FwcWsp.dll
DLL Version: 4.0.3440
Client Protocol Version: 11

Firewall Client Agent service:

Firewall Client Agent service is responsive

ISA Server:

Firewall Server: srv.reil-trans.spb.ru
Server address: 192.168.0.1
Server Protocol Version: 11
Control Channel ping: OK

Result: The command completed successfully.

C:\>

А на больной машине вот что:

C:\>fwctool pingserver

FwcTool version 4.0.3439
Firewall Client for ISA Server 2004 support tool
Copyright (c) Microsoft Corporation. All rights reserved.

Action: Verify ISA Server connectivity

Error: Firewall Client Winsock providers are not installed properly

Result: The command failed and was not completed.

C:\>

* * *
Отседа вопрос, подкупающий своей новизной.
Какова хрена тада переустанов не помогаит?

ну например здесь товарисч решил проблему переустановкой протокола TCP/IP на клиенте
У некоторых проблемы была связана с NOD32. Здесь и здесь обсуждали, а здесь буржуй предложил решение

не поможет, пиши, будем думать дальше

Добавлено:
Кстати, здесь и здесь твоя проблема уже обсуждалась в этой теме

enver
Прошу прощения за лопоухость.
Следовало бы по контексту тулзы поискать в инете...
НОД32, хрен ему в лоб. Починил.
Понравилось решение буржуя. На некоторых компах клиент поднимался проста после выкл-вкл имона.
Преогромный спасиб.
Правда немного абидна, шо за две недели сам не допер.

Вопрос поверх ISA 2004 EE можно поставить ISA 2006 EE ???

SeT
http://www.isadocs.ru/articles/upgrading-to-ISA-2006.html

Здрассте!
недавно поставил ису 2004 на шлюз с вин 2003 ип 192.168.0.65
как в ней сделать port mapping?
в сети есть комп 192.168.0.89 на котором стоит клиент-банк работающий по 9091 порту ч.з веб интрфейс на 212.17.32.162
в настройках клнт-бнк необходимо указать ип прокси-сервера и порт.

короче надо чтоб иса ловила запрос от компа по определенному порту и перенаправляла его на нужный ип и порт.

пробовал ч\з server publishing, не получаецо.

если это клиент-банк, то скорее всего он работает по ssl причем на не стандартном порту. Чтобы заставить ISA работать по ssl через не стандартный порт нужно сделать следующее (стандартно иса не понимает не стандартные порты ssl):
1. скачать скрипт isa_tpr.js и запустить его на ISA с ключами: isa_tpr.js /ext8443 8443, где ext8443 название порта а цифры собственно сам нестандатрный порт. после этого нужно перезагрузиться.
2. альтернатива в GUI ISAtrpe.zip (устанавливается)
3. информация взята с
http://www.isaserver.org/articles/2004tunnelportrange.html

там все идет по TCP 9091

Alex SH
Не понимаю при чем тут публикация локального сервера, ибо именно об этом ты говоришь
Если речь идет о банк-клиенте, который подключается к банковскому серверу по адресу 212.17.32.162, то тебе достаточно просто описать новый протокол для порта TCP/9091 и создать правило на исходящий трафик по вышеописанному протоколу от 192.168.0.89 на 212.17.32.162
Не забудь поставить FWC, иначе могут быть проблемы с авторизацией. Прокси не обязательно прописывать. Если не заработает, попробуй пропиши прокси с авторизацией. Имя пользователя в формате domain\user.

Ребята, а это правда что в ИСА 2004 сп2 пожно делать source-based routing?